Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Verizon DBIR 2019 : le florilège d’attaques se poursuit

juin 2019 par Marc Jacob

A l’occasion de la sortie de la 12ème édition du rapport Verizon DBIR, Verizon a organisé une conférence débat le 18 juin dans la Salle des coffres de l’Hôtel BANKE 5*****. Cet événement a réuni une soixantaine de RSSI qui ont pu bénéficier en exclusivité des primeurs des conclusions de ce rapport et ont assisté à un débat animé par Jérôme Saiz qui réunissait un panel de RSSI et un cabinet d’avocats.

En préambule, Frédérique Liaigre, présidente de Verizon France explique que les données sont devenues la véritable richesse des entreprises. Elle rappelle que le groupe Radiohead s’est fait piraté sa base de données de musique mais n’a pas payé la rançon et a mis à disposition des fans ses nouveautés. Ceci démontre que toutes les entreprises quelle que soit leur taille restent la cibles des pirates informatiques.

Marc Chousterman, Principal Architect de Verizon a présenté par la suite les principaux résultats de la 12ème édition du Data Breach Investigation Report (DBIR). Le DBIR puise ses données de sources provenant de sources de 86 pays et 73 contributeurs pour cette nouvelle édition parmi lesquels plusieurs organisations privées comme Palo Alto Networks mais aussi publiques comme les Services Secrets Américains, le FBI, le CERT-EU, la Police Irlandaise et Espagnole... Cette année, plus de 41 000 incidents et plus de 2 000 brèches de sécurité ont été analysés. L’ensemble de ces actions malveillantes ont été principalement commises par des organisations criminelles et étatiques. Mais on note une augmentation notable du nombre d’incidents dus aux administrateurs systèmes.

Les COMEX cibles privilégiées des attaques

Ce rapport montre que le COMEX reste la cible privilégiée au travers d’attaques de type ingénierie sociale via des appels téléphoniques ou des mails. La plupart de ces attaques ont des buts financiers. Le FBI Internet Complaint Crime Center (IC3) a comparé deux types d’attaques : la première à l’aide d’emails business compromis et la seconde suite à des compromissions d’ordinateurs. Le coût des attaques par email est plus important que celui des compromissions d’ordinateurs. Dans ce rapport, le FBI confirme avoir pu récupérer 99% des sommes volées sur 50% des business impactés. Cela peut mettre en évidence un maillage des services de police des différentes nations. On peut donc noter une montée en puissance de l’action des forces de police.

Le deuxième sujet du rapport concerne les attaques sur les Applications Web. Là encore le vol d’identifiants pour effectuer des compromissions est en forte croissance. Il note aussi une augmentation des erreurs de publications sur le Web ayant entrainé des incidents ou des fuites de données.

Le quart du nombre des brèches est toujours associé à de l’espionnage. Les acteurs externes continuent à représenter la principale source d’attaques. 34% des attaques proviennent de l’interne suite à une erreur ou de façon volontaire.

Les ransomwares représentent 24% des attaques

Les ransomwares sont toujours extrêmement présents dans les incidents avec 24% des attaques. Par contre même si très médiatisées, le crypto-mining est peu présent et n’apparait pas dans le top 10 des attaques répertoriées. Le rapport note que les attaques visant les RH sont aussi en baisse. Il y a 6 fois moins de ces professionnels impactés cette année.

Marc Chousterman a profité de sa présentation faire un focus sur l’Application Enablement très en vogue avec les technologies en Software Defined et les implications des mutations rapides des applications aujourd’hui. Il a ainsi noté la montée de l’intelligence Artificielle, les enjeux du DevOps ainsi que l’importance et les difficultés liés au patching qui permet de réduire l’exposition aux attaques. Il a aussi fait un focus sur les objets communicants et les changements issus de l’adoption généralisée du Cloud. Tous ces éléments confirment la nécessité de créer des programmes de sécurité évolutifs et adaptables s’appuyant sur une Gouvernance Rick Compliance (GRC) sérieuse.

Dans le DBIR on trouve aussi une analyse des attaques analysant le parcours des pirates. Les plus efficaces sont les plus courtes (de 1 à 5 étapes), par contre peu de brèches montrent plus de 10 étapes. Les pirates exploitent en fait les erreurs des administrateurs. L’ingénierie sociale est rarement la dernière étape car elle précède toujours une autre étape.

Le Cloud plus ciblé du fait de son succès grandissant

En conclusion, l’augmentation des attaques liées au Cloud est plus un signe de son adoption grandissante que de sa vulnérabilité particulière aux attaques. L’objectif des RSSI est désormais plus lié à une meilleure appréhension de la redistribution constante des données de l’entreprise. Il faut donc que l’entreprise réduise sa surface d’exposition. Marc Chousterman conclue en évoquant la cyber-défense au niveau des états qui en font désormais une arme de dissuasion y compris en France qui communique officiellement sur le sujet avec la LIO (Lutte Informatique Offensive). Dans d’autres pays, le Hack Back est devenu une doctrine quasi officielle.

Dans un second temps, la table ronde animée par Jérôme Saiz a été lancée. Il a réuni Betty SFEZ du cabinet Betty Sfez Avocats, Eric ANTIBI, Directeur Technique France Palo Alto Networks, Henri CODRON - Vice-Président CLUSIF, Nicolas VIELLIARD - RSSI CLUSIF, Michel JUVIN – RSSI CESIN et Xavier MICHAUD - Verizon Senior Security Assurance Consultant.

La digitalisation pousse le cloud et augmente le risque

Jérôme Saiz pose en introduction la question de l’émergence du Cloud. Henri Codron VP du CLUSIF explique que tout a commencé par la migration de la messagerie et s’est propagée à d’autres applications métiers comme les ERP par exemple. Michel Juvin du CESIN rappelle que la digitalisation pousse vers le Cloud et augmente le risque lié à l’externalisation.

Les stratégies Cloud natives induisent un changement des usages, explique Éric Antibi de Palo Alto Networks. Le problème est de pouvoir contrôler en continue ce qui se passe dans le Cloud. Ainsi, de nouveaux enjeux naissent de ses déploiements avec des enjeux de Zéro Trust. Michel Juvin estime que le Zéro Trust est un concept très intéressant et qui nécessite d’y réfléchir dès à présent.

Concernant l’externalisation de la messagerie une analyse de risque d’Office 365 est en cours au sein du CLUSIF dont les résultats seront publiés lors des Assises de la Sécurité. Il semble nécessaire de devoir ajouter des briques de sécurité pour protéger les boîtes mails. Pour Betty Sfez, le passage des messageries dans le Cloud semble déresponsabiliser les entreprises. Le fait est que légalement même si elle fait appel à un sous-traitant, l’entreprise reste responsable de la donnée. Toutefois, si on est en capacité de négocier avec le prestataire il est possible de limiter la responsabilité.

Jérôme Saiz questionne sur le fait que la migration des boîtes mails remet en cause les échanges entre boîtes mails. Pour Nicolas Vielliard du CLUSIF il n’y a pas de problème par contre c’est lorsque les messages vont vers l’extérieur que des menaces existent. Michel Juvin considère qu’il faut rajouter du chiffrement.

Pour le mail, l’authentification à double facteur semble être la panacée. Par contre, même si on passe avec du MFA, il est aussi important de bien sécuriser les boîtes mails explique Éric Vielliard. Tous les intervenants considèrent que le MFA doit être déployé et utilisé couplé avec une clé Fido.

Jérôme Saiz pose la question de la protection contre les attaques de type BEC. Xavier Michaud indique que les attaquants sur BEC, demandent souvent à leurs interlocuteurs de réaliser un paiement/changer de RIB. Ces mails doivent attirer l’attention et une validation de légitimité doit être faite. Par ailleurs, les attaquants créent parfois des règles de redirection spécifiques, afin que les réponses à ce type de mail ne soient pas vues par l’interlocuteur légitime – ces règles permettent de bypasser la boite mail standard de l’utilisateur. Xavier Michaud considère donc qu’il faut auditer régulièrement les boîtes mails (et plus particulièrement les règles de redirections qui peuvent être un indicateur de compromission). Enfin, protéger sa boite mail en MFA est le minimum syndical, mais il ne faut pas oublier de sécuriser/restreindre les protocoles pop et imap (ou le MFA n’est pas activé).

Jérôme Saiz pose la question de la gestion des conteneurs dans le Cloud. Éric Antibi estime que l’on peut récupérer toutes informations assez facilement en utilisant des solutions en continue. Ces dernières permettent d’avoir une vue sur les erreurs de configurations, les vulnérabilités...

Les attaques via des virus semblent régresser

Concernant les attaques, un certain nombre d’entre elles ne reposeraient plus sur des malwares. Michel Juvin explique que le rapport du CESIN sur les attaques montre qu’il y a une augmentation du Phishing. Éric Antibi, lui, explique qu’il y a une augmentation des attaques sur les DNS. En fait, les attaquants ont tellement d’autres possibilités que les malwares diminuent mécaniquement.

Le rapport montre que le crypto Jacking qui utilise la puissance de calcul des ordinateurs reste faible. Henri Codron considère que ce n’est pas véritablement une menace.

Jérôme Saiz poursuit en interrogeant : "Est-ce que le fait de savoir que l’on a du Crypto Jacking et de ne pas avoir agi rend l’entreprise complice ?" Betty Sfez répond par la positive, dans la mesure où on a la preuve que l’infraction provient d’une négligence avérée. Nicolas Vielliard souligne que des affaires de paiement de rançon à des organisations suspectées de terrorisme ont induit une condamnation des victimes pour supports à des actions terroristes.

Les attaques sur les mobiles en pleine croissance

Quant aux menaces sur les mobiles il semble qu’il y ait plus d’attaques réussies. Les utilisateurs qui cliquent sans faire attention sont condamnables rappelle Betty Sfez, par exemple via la charte informatique. Si malgré les campagnes de sensibilisation le salarié reste négligeant il peut faire l’objet de sanctions qui dans certains cas peuvent aller jusqu’au renvoi pour faute.

Jérôme Saiz relève que seul 4% des attaques proviennent d’intrusions physiques dans les statistiques du rapport Verizon DBIR. Michel Juvin rappelle que le directeur sécurité en a la charge ; toutefois il doit travailler avec les RSSI pour mettre en place une stratégie globale de la sécurité incluant la cybersécurité. Éric Antibi considère que s’il y a une faille dans la sûreté il faut mettre en place une politique de Zéro Trust.

Jérôme Saiz rapporte la fuite de données de British Airways faisant suite à une attaque sur les petites bibliothèques à l’aide d’un JavaScript. Pour Xavier Michaud ce type d’attaque est très complexe à parer car le métier ne voit pas une baisse de transformation des ventes. De même, l’analyse statique via du FIM des pages web n’identifieront pas de changement tant que le javascript n’est pas chargé et exécuté. Xavier Michaud indique qu’il existe par ailleurs d’autres solutions néfastes (TMS : Tag Management Systems), qui sont utilisées par les métiers, sans même que l’IT/ la sécurité ne soient au courant. En effet, il s’agit pour les métiers d’insérer un tag javascript, qui permettra ensuite, via une plateforme sur le cloud, d’injecter à la volée du code javascript permettant de modifier les pages, ajouter des promotions, sans avoir à redéployer l’application (et donc passer par tous les contrôles sécurité requis). Ces accès aux sites TMS sont parfois très mal protégés, via uniquement login/mdp, permettent de faire des modifications visuelles et du DOM – et peuvent donc permettre à insérer des fausses pages de paiement / du code récupérant les données tapées par un utilisateur…

En conclusion, face aux évolutions, Michel Juvin considère qu’avec le Shadow IT entre autre, les menaces vont être de plus en plus exacerbées. Henri Codron rapporte que toute entreprise sera surement attaquée un jour ou l’autre, de ce fait, il faut répéter les exercices de gestion de crise. Éric Antibi, pour sa part, recommande d’utiliser le moyen du Cloud, de l’IA, du Machine Learning... pour protéger l’entreprise. Enfin Betty Sfez termine le tour de table en expliquant qu’aujourd’hui les entreprises n’ont plus le choix, elles doivent impérativement se protéger et pouvoir le prouver !




Voir les articles précédents

    

Voir les articles suivants